安全性:数据库的 SSL 连接与 IP 白名单
Security: SSL Connection vs IP Whitelist for a database
我正在 Heroku 上设置一个使用 MySQL 数据库的应用程序。
客户端想要使用 MySQL 数据库,该数据库具有允许其连接的显式白名单。然而,由于 Heroku 的动态 IP 特性,这被证明是相当复杂的;我们必须使用诸如 QuotaGuard 之类的附加组件来为我们提供一个静态 IP,我们可以在其中访问数据库。
此代理路由在其他地方给我们带来了问题,因为其他使用动态 IP 的服务正在尝试访问数据库但失败了。
我的问题是白名单真正提供的安全程度,而不是使用 SSL 的复杂 username/password。
有没有人用过这两个,能说说优缺点吗?
谢谢
请允许我重新表述您的问题:
设置复杂动态IP跟踪器系统与简单保护link相比有何优势?
顺便说一句,IP 可以被欺骗,所以这个解决方案不是那么安全(是的,这样的攻击需要一些不平凡的黑魔法,但实际上是非常可行的)。
为 SSL 支持配置 MySQL 真的没有那么复杂 very well documented。
如果您不能重新编译或重新配置 MySQL,您仍然可以在您的客户端应用程序和您的 MySQL 服务器之间建立一个简单的 VPN(并且只允许来自该 VPN 的连接)。
遗憾的是,我不知道您的提供商是否允许在您的实例上进行这种级别的配置。
因此,如果以上所有方法都不可行,您仍然可以创建一个随机的 10000 个字符长的密码。对于纯粹主义者来说不够安全,但我希望黑客们好运 :)
我正在 Heroku 上设置一个使用 MySQL 数据库的应用程序。
客户端想要使用 MySQL 数据库,该数据库具有允许其连接的显式白名单。然而,由于 Heroku 的动态 IP 特性,这被证明是相当复杂的;我们必须使用诸如 QuotaGuard 之类的附加组件来为我们提供一个静态 IP,我们可以在其中访问数据库。
此代理路由在其他地方给我们带来了问题,因为其他使用动态 IP 的服务正在尝试访问数据库但失败了。
我的问题是白名单真正提供的安全程度,而不是使用 SSL 的复杂 username/password。
有没有人用过这两个,能说说优缺点吗?
谢谢
请允许我重新表述您的问题:
设置复杂动态IP跟踪器系统与简单保护link相比有何优势?
顺便说一句,IP 可以被欺骗,所以这个解决方案不是那么安全(是的,这样的攻击需要一些不平凡的黑魔法,但实际上是非常可行的)。
为 SSL 支持配置 MySQL 真的没有那么复杂 very well documented。
如果您不能重新编译或重新配置 MySQL,您仍然可以在您的客户端应用程序和您的 MySQL 服务器之间建立一个简单的 VPN(并且只允许来自该 VPN 的连接)。
遗憾的是,我不知道您的提供商是否允许在您的实例上进行这种级别的配置。
因此,如果以上所有方法都不可行,您仍然可以创建一个随机的 10000 个字符长的密码。对于纯粹主义者来说不够安全,但我希望黑客们好运 :)